Павел Коростелев, руководитель отдела продвижения продуктов «Кода Безопасности», во время пресс-тура, прошедшего 28 августа в Нижнем Новгороде, рассказал о том, как пандемия воспринимается на уровне бизнеса, что она за собой повлекла, как на это ответил бизнес в широком смысле, как легальный, так и нелегальный, как в «Коде Безопасности» видят основной ответ на все эти пандемийные изменения.
О модели компании Gartner COVID-19 Pandemic Planning Framework
«Компания Gartner в своей модели COVID-19 Pandemic Planning Framework разбила всю пандемию на четыре этапа: введение жесткого локдауна, постепенная отмена локдауна с сохранением проблем перемещения людей между странами, отсев всех тех, кто не смог справиться с первыми двумя этапами, «новая нормальность».
В модели мы можем видеть две основных кривых. Первая – те компании, «кому повезло», бизнес которых во время локдауна вырос. Вторая – компании, которые «просели», не сумевшие из-за ковидных ограничений поддерживать работу на прежнем уровне. На графике видно, что «просевшие» компании в итоге всё равно возвращаются в прежнее рабочее состояние. Но часть «просевших» компаний никогда уже не вернуться в бизнес, потому что пандемия привела к закрытию, банкротству.
С точки зрения информационной безопасности есть два очень важных момента. При переходе компании в цифровой режим работы появляется множество новых рисков, потому что надо всё делать быстро и надёжно, а ресурсов хватает только на «быстро». Выросшие во время пандемии компании стали более уязвимы в той агрессивной среде, в которой сейчас приходится работать. У «просевших» компаний ситуация другая – стало меньше денег, но риски не уменьшились. Поэтому их степень уязвимости сегодня находится на повышенном уровне».
О драйверах последнего года
«Если попытаться сформулировать основные драйверы последнего года, главное, что в той или иной степени влияло на рынок, можно выделить четыре компонента.
Первый драйвер – удаленный режим работы. Многие в этом режиме начали «выгорать», что очень сильно влияет на появление уязвимостей. Человек хуже воспринимает риски, верит во всё, что ему сообщают, когда звонят или пишут.
Второй – ускоренная цифровизация. Компаниям во время пандемии требовалось не только сделать интернет-магазин из обычного магазина, но и модифицировать бизнес-процессы таким образом, чтобы пользователям было интересно и удобно работать.
Третий – киберпреступники. Во время пандемии в киберпространстве появилось множество новых целей. Для злоумышленников это означало дополнительные бизнес-возможности, которыми они воспользовались.
Четвертый – геополитика. Этот драйвер начался ещё задолго до пандемии, но во время неё расцвёл. Государства старались использовать как технологические, так и нетехнологические рычаги, чтобы друг на друга влиять. А это, конечно, создаёт дополнительные риски для информационной безопасности».
Об угрозах
«Если мы будем говорить про угрозы, то четыре основных угрозы, которые мы видим – это вирусы-вымогатели, фишинг, взлом системы удалённой работы, атаки на цепочки поставок.
Использование вирусов-вымогателей – это ситуация, когда киберпреступники проникают в информационные системы, шифруют все данные, после чего требуют выкуп , чтобы предоставить возможность расшифровать данные. Это распространённая модель киберпреступности, рассчитанная исключительно на заработок денег.
Фишинг – это атака, при которой киберпреступник обманом вынуждает жертву кликнуть по ссылке. А далее возможны различные варианты, в том числе и атака вируса-вымогателя. Но надо понимать, что фишинг предполагает атаку не на систему, а именно на пользователя. Поэтому в контексте информационной безопасности с этой проблемой бороться очень тяжело.
Взлом системы удалённой работы стал возможен, когда множество компаний перешли на дистанционный формат работы. Удалённых сотрудников намного тяжелее контролировать. Часто дома они работают с собственных устройств. В итоге со стороны пользователей появляются уязвимые и не очень безопасные системы. А компании не всегда успевают подготовить решения по информационной безопасности для дистанционной работы. Например, системному администратору предприятия ставят задачу любой ценой и быстро обеспечить удаленный доступ. Он обеспечивает его быстро, ничего не делая с точки зрения безопасности. А злоумышленники это отслеживают и атакуют незащищённых пользователей для того, чтобы, например, подкинуть вирусы-вымогатели в информационные системы компаний.
Атаки на цепочки поставку – это высокоуровневые кибератаки, когда серьезные хакеры атакуют крупные объекты. Идея здесь простая. Например, есть гостиница, в каждом номере есть мыло. Эта гостиница мыло не производит, его выпускает какое-то предприятие. И преступнику, чтобы сделать что-то плохое постояльцам гостиницы, не надо пытаться в гостинице менять мыло на зловредное вещество. Ему надо просто атаковать то предприятие, которое производит это мыло, после чего оно затем по всем гостиницам страны будет отправлено.
В случае с IT всё работает точно так же. Любое сложное программное обеспечение использует множество модулей. И при атаках на поставщиков этих модулей можно добиться проведения атаки на основную цель. Эти атаки очень эффективны и от них сложно защититься».
Об атаках программ-вымогателей
«Результат исследования компании Verizon, которое было опубликовано в мае этого года, показывает, что успешные атаки вирусов-шифровальщиков с подтвержденным ущербом в 2016 году составляли чуть более 1,5%. В 2017 году показатели были аналогичные, в 2018 году их стало немного больше, а в 2019 и 2020 годах показатели успешных атак составили 5% и 10% соответственно.
Можно сделать вывод о том, что в 2016-17 годах киберпреступники тренировались, искали оптимальные режимы атаки, а в следующие года они просто начали зарабатывать деньги. Проблема в том, что с учётом текущей ситуации, показатели успешности атак вирусов-вымогателей будет только расти в будущем, потому что такие кибератаки хорошо монетизируются».
О влиянии пандемии на картину угроз
«В рамках того же исследования компании Verizon можно наглядно видеть проблемы киберугроз, потому что исследователи обладают солидными статистическими данными и могут отслеживать какие-то аномалии.
Во время пандемии существенно увеличилось количество фишинга. В условиях удалённой занятости многие пользователи становятся более уязвимыми к попыткам обмана.
Вторым компонентом, который серьёзно вырос во время пандемии, стали вирусы-шифровальщики. Здесь идея в том, что для ушедших на удаленку сотрудников в периметре компании открываются новые способы соединения с ИТ-инфраструктурой компании для удобства работы сотрудников. Это ослабляет корпоративную информационную защиту, что обуславливает повышение количества атак вирусов на предприятия».
О фишинге
«Фишинг является очень большой проблемой. Идея фишинга в том, что пользователь кликает по какой-то ссылке, после чего происходит заражение устройства или похищение персональных данных. Если человек регулярно становится жертвой фишинга, то он уже может определить, фишинговое письмо перед ним или нет.
Есть три основных подхода для проведения фишинговой атаки. Первый из них – массовая рассылка. К примеру, злоумышленники рассылают 10 млн. писем, понимая, что хотя бы часть потенциальных жертв на вредоносную ссылку кликнут.
Второй вариант – спирфишинг. В этом случае киберпреступники готовят конкретное фишинговое письмо для конкретной организации. Например, если какой-то компании занимаются работой с госорганизациями и в конце 4-го квартала сотрудникам на почту придёт письмо со ссылкой, похожей на сайт госзакупок, то по ней многие специалисты кликнут, потому что это их работа.
Третий вариант фишинговых атак – BEC (Business Email Compromise). В этой ситуации злоумышленники формируют письмо так, чтобы потенциальная жертва кликнула по ссылке в нём с высокой долей вероятности. Например, так рассылают фишинговые письма якобы от имени руководителя компании. Злоумышленники для повышения успеха атаки могут взломать почтовый аккаунт руководителя и осуществить рассылку сотрудникам. Такие атаки сравнительно редки, потому что требуют от злоумышленников тщательной и длительной подготовки. Но ущерб от них получается максимальным.
Можно сказать, что около трети всех кибератак в мире начинаются именно с фишинга».
Об атаках на цепочки поставок
«Если киберпреступники знают, что их целевая компания заботиться о информационной безопасности, а напрямую проникнуть внутрь периметра им будет сложно или вовсе невозможно, то взламывать именно её они не будут. Они станут атаковать её поставщиков.
Например, был случай, когда группа злоумышленников взломала одну из программ для ускорения работы компьютера. Эта группа была заинтересована в атаках на конкретные крупные компании – Cisco, Samsung, Dell, Intel, Microsoft и другие. В итоге хакеры ждали, пока кто-то из этих компаний скачает к себе на рабочий компьютер программу, в которую уже был внедрён вредоносный код. При этом код был невидим для антивирусов и себя не проявлял, пока не оказывался в одно из сетей указанных компаний.
Ещё один пример – одна из итальянских компаний, которая занималась мониторингом событий безопасности во множестве организаций. Она была в постоянном режиме подключена к сетям клиентов. В какой-то момент её взломали. В результате злоумышленники получили доступ в сети более 250 других компаний».
О поведении российских заказчиков
«Как вся эта пандемия повлияла на российских заказчиков? В марте-апреле 2020 года мы столкнулись с массовым уходом на удаленный режим работы. После чего начались экономические проблемы во многом из-за того, что стали рваться цепочки поставок.
Дальше, так как у нас с киберпреступностью легче не стало, потому что злоумышленники тоже хотят зарабатывать денег, в виде ответа на это регуляторы по информационной безопасности начали потихоньку усиливать требования, чтобы компании активно занимались информационной безопасностью.
И ещё одна характерная черта – адаптация облачных услуг. Например, если компания не может закупить сервер, который нужен, прямо сейчас, то она покупает его как сервис».
Об удаленке
«Компания Gartner в июне 2020 года посчитал, общее количество удаленных сотрудников и потенциальное увеличение их количества в зависимости от страны. Понятно, что в США, Австралии, Англии, Канаде, Новой Зеландии и без пандемии изначально было очень много удалённых сотрудников. Показатель потенциального увеличения количества удалёнщиков оказался не более 5-7%.
Если смотреть на показатели России, то можно видеть, что у нас изначально было около 15% удалённых сотрудников, а после начала пандемии потенциал новых составил 14%. То есть, по оценкам компании Gartner, в России количество удалённых сотрудников будет расти на 14% в год.
Мы также фиксировали цифры по количестве удалённых пользователей на продуктах «Кода Безопасности». На графике показано количество отгружаемых лицензий на защищённый удалённый доступ. Статистика была взята с 2017 года. Можно видеть, что раньше у нас ежегодно продавалось около 10 000 лицензий, а в 2020 году рост составил примерно в девять раз, то есть лицензий стало около 100 000. Но здесь нужно отметить, что продажи выросли только в два раза – было продано около 20 000 лицензий. А остальные 80 000 лицензий мы отгрузили по бесплатной программе».
О том, что мешает выделению бюджета на информационную безопасность
«В начале августа мы начали проводить исследование поведения заказчиков. Один из основных вопросов исследования – «Что мешает выделению бюджета?». Почему это важно? В целом, информационная безопасность – это то, что очень сложно как-то посчитать. Многие компании понимают, что информационной безопасностью заниматься надо. Но невозможно построить модель, с помощью которой можно было бы посчитать, а сколько тратить на информационную безопасности.
В 2019 году около 90% опрошенных специалистов отмечали, что их топ-менеджмент не понимает рисков информационной безопасности, поэтому средства на неё не выделялись в нужном объеме. И только в 5% случаев информационная безопасность не финансировалась должным образом из-за банальной нехватки средств у компании.
В 2021 году показатель непонимания со стороны топ-менеджмента сократился до 50%, но при этом вырос показатель нехватки денег на информационную безопасность до 40%. У многих компаний проблемы с деньгами, а понимание важности информационной безопасности пришло.
Ещё один вопрос, который мы задали заказчикам – «А что у вас будет с бюджетом на следующий год?». И результаты следующие: 47,4% компаний ответили, что оставят бюджет на том же уровне, 40,4% планируют увеличить бюджет, лишь 12,2% компаний заявили, что вынуждены будут уменьшить бюджет на информационную безопасность в 2022 году».
О законодательных штрафах
«В России можно выделить 9 основных законов и нормативных актов, которые в той или иной мере влияют на сферу информационной безопасности в стране. Поэтому можно сказать, что законодательство у нас в этом направлении достаточно «богатое».
Если посчитать все подзаконные акты, которые регулируют вопросы информационной безопасности в России, то их и вовсе наберётся более 50.
Например, в рамках требований по защите критической информационной инфраструктуры в 2018 году был принят закон о введении специальной статьи УК РФ с наказанием по результатам инцидентов информационной безопасности, повлекших за собой тяжелые последствия. В ней сказано, что если администратор недостаточно хорошо защитил свою систему и её взломали, то ему дадут как минимум условный срок. Правоприменительная практика по этой статье уже начала формироваться.
В мае 2021 года были приняты поправки в КоАП РФ, в которых сказано, что если компания КИИ не выполняет требования по обеспечению информационной безопасности, то ей выпишут штраф от 100 до 500 тыс. рублей.
Поэтому можно говорить о том, что государство сейчас даёт четко понять руководству компаний – информационной безопасностью нужно заниматься».
О концепции нулевого доверия
«Вся эта ситуация с пандемией и удалённой работой формирует интересную ситуацию. Злоумышленники очень хотят поживиться нашими данными, украсть конфиденциальную информацию из компаний, чтобы потом потребовать выкуп. В результате появилась концепция нулевого доверия, которая предполагает создание такой IT-инфраструктуры, которая сможет быть защищенной даже в условиях повсеместного ухода на удаленку и переноса сервисов в облака.
Раньше было так – инфраструктура компаний была полностью внутри, ничего в интернет не отправлялось, поэтому руководство было уверено в безопасности данных.
Потом начали появляться удаленные пользователи, которых надо было проверять – хотя бы по логину и паролю. После проверки они получают доступ внутрь сети компании.
Затем стало понятно, что пользователи внутри компании постоянно кликают по всем ссылкам, которые к ним приходят. Поэтому потребовалось введение дополнительного механизма контроля между всеми пользователями и приложениями.
В итоге концепция нулевого доверия предполагает, что мы не доверяем ни интернету, ни внутренней сети. Поэтому для каждого пользователя работа с каким-то приложением, вне зависимости, где он находится, внутри или снаружи ИТ-сети компании, каждое подключение проверяются. Такой подход позволяет противостоять большинству атак злоумышленников. Поэтому концепция нулевого доверия считается сейчас целевой системой обеспечения информационной безопасности в крупных организациях».
Выводы
«Можно сделать несколько выводов. Во-первых, пандемия послужила «водоразделом» для обычных и цифровых предприятий, потому что у обычных компаний появились проблемы с деньгами, а у цифровых появились проблемы с безопасностью.
Во-вторых, злоумышленники адаптировались к новым условиям. Они начали тестировать новые способы атак, применять новые схемы и тому подобное, чтобы максимально эффективно получать деньги со своих жертв.
В-третьих, государство не отстает и ужесточает регулирование, потому что не все организации адекватно воспринимают риски информационной безопасности».
Редакция CISO CLUB выслушала выступление Павла Коростелева и задала ему вопросов:
Насколько возможна реализация концепции нулевого доверия в текущих финансовых условиях, когда у компаний мало денег?
«Её реализация возможна сейчас, потому что все те технологии, которые применяются, были придуманы ещё 10 лет назад. Но сейчас они стали более актуальными, потому что много людей ушло на удаленку, а сервисы – в облако.
Во время пандемии у многих компаний не было возможности покупки серверов, поэтому они ушли в облако. В результате поменялась структура расходов и в рамках этих изменений у организаций появляется возможность внедрения концепции нулевого доверия».
Почему нельзя просто управлять рисками и не обращать особого внимания на реализацию некоторых из них?
«Чтобы управлять рисками, их надо правильно считать, а этого сейчас сделать никто не сможет. Это целая отдельная проблема – управление рисками информационной безопасности. Никто не даст общего и универсального ответа на этот вопрос. Надо находиться на очень высоком уровне зрелости, чтобы уметь это делать.
Поэтому если мы говорим именно про безопасность IT-инфраструктуры, то её надо воспринимать как неотъемлемую часть затрат. Например, компания тратит 1000 долларов на сервер и тратит ещё 200 долларов на защиту».
На вопрос CISO CLUB также ответил Андрей Голов, генеральный директор «Кода Безопасности»:
Если говорить про компанию «Код Безопасности», планируете ли вы стать сервис-провайдером и предлагать «Континент» как услугу?
«Я считаю, что мы будем заниматься только тем, что умеем. Мы научились делать продукты, мы этим и будем заниматься. Если говорить про услуги, то я уверен на 99%, что этим в будущем смогут заниматься только наши партнеры.
Исключение здесь составляет только ситуационный центр, который я больше считаю центром мониторинга и предупреждения «аварий». У нас задача в этом случае не обнаружения компьютерных атак, а обеспечения устойчивости тех крупных систем, в которых мы приняли участие. А если они начнут «ложиться», то нам надо хотя бы об этом своевременно знать», — Андрей Голов, генеральный директор «Кода Безопасности.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
